Телефонный фишинг
Телефонный фишинг, также известный как вишинг или голосовой фишинг, представляет собой тип мошенничества, при котором телефонные звонки используются для получения доступа к конфиденциальной информации. По концепции и исполнению он похож на фишинг по электронной почте, но вместо использования электронных писем в качестве вектора атаки злоумышленники используют телефонные звонки. Телефонные фишеры обычно пытаются заставить жертв раскрыть личные данные, такие как номера кредитных карт и пароли, притворяясь, что они принадлежат законной организации.
Первым шагом злоумышленника при проведении телефонного фишинга обычно является исследование потенциальных целей. Это потребует сбора информации о человеке или компании, являющейся объектом нападения, либо из общедоступных источников, либо с помощью методов социальной инженерии, таких как вызов представителей службы поддержки клиентов из других компаний и выдача себя за человека, который работает в целевой фирме. Как только они соберут достаточно информации о своих целях, они начнут совершать нежелательные звонки, чтобы инициировать с ними контакт.
Как только контакт будет установлен, злоумышленник попробует различные методы убедить жертву предоставить конфиденциальные данные, например, попытаться запугать ее, заставив ее поверить в то, что может произойти что-то плохое, если она ее не предоставит (например: «Нам нужен номер вашей кредитной карты в закажите, чтобы мы не заморозили ваш аккаунт»). Другие распространенные методы включают предложение бесплатных услуг или продуктов, если они предоставили свои данные, и притворство, что с их учетной записью возникла какая-то проблема, которая требует проверки, прежде чем ее можно будет исправить. Однако в целом любую попытку неизвестного лица запросить конфиденциальную информацию всегда следует считать подозрительной, независимо от того, насколько убедительными могут показаться на первый взгляд аргументы.
Чтобы защититься от атак такого типа, пользователи никогда не должны раскрывать финансовые данные по телефону, за исключением случаев крайней необходимости и только после проверки того, с кем именно вы разговариваете. Если возможно, попросите предоставить больше идентифицирующей информации, чем просто имя (например, идентификатор сотрудника), чтобы вы знали, что разговариваете с кем-то, уполномоченным в этой организации. Кроме того, никогда не отвечайте напрямую по электронной почте — это может легко привести к тому, что мошенники получат доступ к вашей системе. Кроме того, рассмотрите возможность установки двухфакторной аутентификации для всех учетных записей, требующих дополнительных мер безопасности, таких как банковские веб-сайты или биржи криптовалют, где большие суммы денег потенциально могут быть потеряны из-за попыток кражи, подобных описанным ранее.
